es la revisin exhaustiva, sistemtica y global que se realiza por medio de un equipo

fin de evaluar, en forma integral, el uso adecuado de

multidisciplinario de auditores, de todas las actividades y operaciones de un

centro de sistematizacin

sus sistemas de cmputo, equipos perifricos y de apoyo para el procesamiento

de informacin de la empresa

AUDITORIA DE SISTEMAS
la red de servicios de una empresa y el desarrollo correcto de las funciones da sus reas, personal y usuarios. la revisin de la administracin del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueteras de aplicacin
la administracin y control de proyectos, la adquisicin del hardware y
software institucionales, de la adecuada integracin y uso de sus recursos informticos y de la existencia y cumplimiento de las normas, polticas, estndares y procedimientos que regulan la actuacin del sistema, del personal y

usuarios del centro de cmputo

CPCC. GUILLERMO ARCAYA COYURI

Administracin de la Configuracin de Bases de Datos

CPCC. GUILLERMO ARCAYA COYURI

Justificacin
Aumento de la vulnerabilidad

Automatizacin de los procesos y prestacin de servicios

Beneficios para alcanzar los objetivos

Recursos TICs
Aumento de la productividad
Informacin como recurso estratgico

Magnitud de los costos e inversiones TIC

CPCC. GUILLERMO ARCAYA COYURI

Fuente: Rodrguez (2006)

La productividad de cualquier organizacin depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso crtico adicional (Rodrguez, 2006:3).

CPCC. GUILLERMO ARCAYA COYURI

Evidencias 1 2 3 4 5 6 El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concrecin de amenazas informticas. Crecimiento de la informacin disponible de empresas y sus empleados en redes sociales Ingeniera Social. Mensajes de e-mail que contienen attachments que vulnerabilidades en las aplicaciones instaladas por los usuarios. Robo de credenciales o captura ilegal de datos. Acceso a redes empresariales a travs de cdigos maliciosos diseados para obtener informacin sensitiva. En el 2009 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los ms vulnerables ante las amenazas informticas. explotan

En el 2009 Symantec identific 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008.

CPCC. GUILLERMO ARCAYA COYURI

Fuente: Symantec (2010).

Evidencias 8 9 En el 2010 hubo 286 millones de nuevas ciberamenazas. Junto con las redes sociales otra rea de peligro en el espacio mvil (Smartphones).

10

Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el mundo, como Estados Unidos, UK o Espaa, han mostrado la preocupacin que tienen ante ataques que puedan afectar a la economa del pas o incluso a otras reas, tales como las denominadas infraestructuras crticas. Tambin este ao 2009 vimos un ataque lanzado a diferentes pginas web de Estados Unidos y Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxo-community.com

11

Cuidar a las empresas en esos momentos no es labor fcil. Los ataques son incesantes (al menos 10,000 amenazas circulan en la red cada minuto), y cada ao causan prdidas por ms de 650,000 millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

CPCC. GUILLERMO ARCAYA COYURI Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

CPCC. GUILLERMO ARCAYA COYURI

Se requiere contar con una efectiva administracin de los RIESGOS asociados con las TIC

Rol Bsico de la Funcin de Auditora Informtica

Supervisin de los CONTROLES IMPLEMENTADOS y determinacin de su eficiencia

CPCC. GUILLERMO ARCAYA COYURI

Fuente: Rodrguez (2006)

Factores que propician la Auditora Informtica

Leyes gubernamentales. Polticas internas de la empresa. Necesidad de controlar el uso de equipos computacionales. Altos costos debido a errores. Prdida de informacin y de capacidades de procesamiento de datos, aumentando as la posibilidad de toma de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organizacin.
CPCC. GUILLERMO ARCAYA COYURI

Objetivos generales de la Auditora en Informtica

Asegurar la integridad, confidencialidad y confiabilidad de la informacin. Minimizar existencias de riesgos en el uso de Tecnologa de informacin Conocer la situacin actual del rea informtica para lograr los objetivos. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico, as como tambin seguridad del personal, los datos, el hardware, el software y las instalaciones.

CPCC. GUILLERMO ARCAYA COYURI

Objetivos generales de la Auditora en Informtica

Incrementar la satisfaccin de los usuarios de los sistemas informticos. Capacitacin y educacin sobre controles en los Sistemas de Informacin. Buscar una mejor relacin costo-beneficio de los sistemas automticos y tomar decisiones en cuanto a inversiones para la tecnologa de informacin.

CPCC. GUILLERMO ARCAYA COYURI

Riesgo Informtico
La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico (Guas para la Gestin de la Seguridad) como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: CPCC. GUILLERMO ARCAYA COYURI http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Amenaza
Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsico.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: CPCC. GUILLERMO ARCAYA COYURI http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnologa inadecuada, fallas en la transmisin, inexistencia de antivirus, entre otros.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: CPCC. GUILLERMO ARCAYA COYURI http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Impacto
Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia, fallas operativas a corto o largo plazo, prdida de vidas humanas, etc.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: CPCC. GUILLERMO ARCAYA COYURI http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.

Eliminar el riesgo. Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica). Aceptar el riesgo, determinando el nivel de exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. CPCC. GUILLERMO ARCAYA COYURI Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Y...Qu es el control interno?

Es un proceso, mediante el cual la administracin, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecucin de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la informacin financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organizacin medidas preventivas, deteccin y correccin de errores, fallos y fraudes o sabotajes
CPCC. GUILLERMO ARCAYA COYURI

CONTROL INTERNO. DEFINICIN Y TIPOS

Cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.

La tipologa tradicional de los controles informticos es:

CPCC. GUILLERMO ARCAYA COYURI

Bajo Nivel de Vulnerabilidad? Dao a los equipos, datos o informacin

Concrecin de la Amenaza Agente Amenazante

Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daos intencionales o no)
Objetivos: Desafo, ganancia financiera/poltica, dao

Confidencialidad Integridad Disponibilidad

Causa Fsica (Natural o no)

Prdida de Dinero Clientes CPCC. GUILLERMO ARCAYA COYURI Imagen de la Empresa

Disuasivos

Preventivos Amenaza o Riesgo

Tratar de evitar el Cuando fallan los hecho preventivos para tratar de conocer cuanto antes el evento

Plataforma Informtica

Operatividad

Vuelta a la normalidad cuando se han producido incidencias Detectivo

Tmin Correctivo

CPCC. GUILLERMO ARCAYA COYURI

Normas de Auditora Informtica Gua de auditoria del sistema de gestin de seguridad de la disponibles
COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992). ITIL (Information Technology Infrastructure Library, Inglaterra 1990). ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).
informacin para su proteccin.

Modelo de evaluacin del control interno en los sistemas, funciones, procesos o actividades en forma ntegra.

Marco referencial que evala el proceso de gestin de los Servicios de tecnologa de informacin y de la CPCC. GUILLERMO ARCAYA COYURI infraestructura tecnologa.

Referencia Bibliogrfica
IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista ISACA Journal y desarrolla estndares internacionales en control y auditoria de sistemas de informacin. Tambin administra la respetada certificacin a nivel mundial como Auditor de Sistemas de Informacin.
CPCC. GUILLERMO ARCAYA COYURI

Marco de Trabajo de Control COBIT

Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del negocio. Organizando las actividades de TI en un modelo de procesos generalmente aceptado.

Identificando los principales recursos de TI utilizados. Definiendo los objetivos de control gerencial a ser considerados. CPCC. GUILLERMO ARCAYA COYURI

NEGOCIO
Requerimientos Informacin

TICS Vs. PROCESOS

Controlados por Medidos por Auditados a travs de Objetivos de Control

Ejecutados a travs de

Indicadores de Desempeo

Indicadores Meta

Metas de Actividades

Modelo de Madurez
CPCC. GUILLERMO ARCAYA COYURI

Directrices de Auditora

Prcticas de Control

Traduccin

Implementacin

Herramientas para ayudar a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks () Las directrices ayudan a brindar respuestas a preguntas de la administracin: Qu tan lejos podemos llegar para controlar la TI?, y el costo justifica el beneficio? Cules son los indicadores de un buen desempeo? Cules son las prcticas administrativas clave a aplicar? Qu hacen otros? Cmo medimos y comparamos? (IT Governance Institute, 2006).
Directrices de Auditora

Los Objetivos de Control COBIT brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecucin. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006).

Objetivos de Control CPCC. GUILLERMO ARCAYA COYURI

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en TI. Preocupacin por el creciente nivel de gasto en TI. La necesidad de satisfacer requerimientos regulatorios para controles de TI en reas como privacidad y reportes financieros y en sectores especficos como el financiero, farmacutico y de atencin a la salud.

CPCC. GUILLERMO ARCAYA COYURI

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

La seleccin de proveedores de servicio y el manejo de Outsourcing y de Adquisicin de servicios

Riesgos crecientemente complejos de la TI como la seguridad de redes

Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas para ayudar a monitorear y mejorar las actividades crticas de TI, aumentar el valor del negocio y reducir los riesgos de ste.

CPCC. GUILLERMO ARCAYA COYURI

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente.

La madurez creciente y la consecuente aceptacin de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.
La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia (Benchmarking) CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR

Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura CPCC. tecnolgica apropiada . GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
PLANEAR Y ORGANIZAR

Cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI?

Se entienden y administran los riesgos de TI?

Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementacin e integracin en los procesos del negocio.

CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
ADQUIRIR E IMPLEMENTAR

Adems para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia:
Los nuevos proyectos generan soluciones que satisfagan las necesidades? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?

Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones CPCC. GUILLERMO ARCAYA COYURI actuales del negocio?

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.

CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE

Aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4
MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
CPCC. GUILLERMO ARCAYA COYURI

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
MONITOREAR Y EVALUAR

Abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
CPCC. GUILLERMO ARCAYA COYURI

Ejemplo: Supongamos la siguiente situacin

Procedimientos de Seleccin del Software
Evaluacin del cumplimiento de los objetivos de control basados en la Norma COBIT DOMINIO?

Objetivos de Control

Establecimiento inadecuado de los requerimientos funcionales

(PO) Planear y Organizar

(AI1) Identificar soluciones automatizadas

Se detectan fallas en la puesta en marcha del sistema automatizado

(ME) Monitorear y Evaluar

(AI2) Adquirir y mantener software

(ES) Entregar y dar soporte

Debido a las fallas los usuarios se resisten a utilizar el sistema

(AI3) Adquirir y mantener infraestructura TIC

(AI) Adquirir e Implementar

CPCC. GUILLERMO ARCAYA COYURI

(AI4) Facilitar operacin y uso

AI1 Identificar soluciones automatizadas AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y funcionales del negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y tcnicos. Definir los criterios de aceptacin de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnologa de apoyo.
Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisicin y el desarrollo continuo de sistemas.

CPCC. GUILLERMO ARCAYA COYURI

AI1.2 Reporte de anlisis de riesgos

Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, as como el cumplimiento de las leyes y reglamentos.

AI1.3 Estudio de factibilidad y formulacin de cursos de accin alternativos

Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos.

AI1.4 Requerimientos, decisin de factibilidad y aprobacin.

El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como tcnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorizacin va despus de la terminacin de las revisiones de calidad.

CPCC. GUILLERMO ARCAYA COYURI

Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluacin de los procesos a partir de los objetivos de control (IT Governance Institute, 2006).
No Existente Inicial Repetible Definido Administrado Optimizado

Estado Actual de la empresa Promedio de la Industria

Objetivo de la empresa

0 No se aplican procesos administrativos en lo absoluto 1 Los procesos son ad-hoc y desorganizados 2 Los procesos siguen un patrn regular

3 Los procesos se documentan y se comunican

4 Los procesos se monitorean y se miden
CPCC. GUILLERMO ARCAYA COYURI

5 Las buenas prcticas se siguen y se automatizan

Norma COBIT
COBIT es la fusin entre prcticas de informtica (ITIL, ISO/IEC 17799) y prcticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la informacin: De calidad (calidad, costo y entrega de servicio).
Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la informacin y cumplimiento de las leyes y regulaciones).

De Seguridad (confidencialidad, integridad y disponibilidad).

CPCC. GUILLERMO ARCAYA COYURI

Terminologa COBIT
Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la informacin, en cuanto a calidadcosto, la eficiencia viene dada a travs de la utilizacin ptima (ms productiva y econmica) de recursos.

CPCC. GUILLERMO ARCAYA COYURI

Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad, la integridad es la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.

Disponibilidad: Se trata de la oportunidad de entrega de la informacin cuando sta sea requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.CPCC. GUILLERMO ARCAYA COYURI

Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin: Es la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

CPCC. GUILLERMO ARCAYA COYURI

Bibliografa Referencial
AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin. McGraw Hill. Mxico. INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la informacin y tecnologa afines. 2da Edicin. MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales. Pearson-Prentice Hall. Mxico. RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin No. 043. Espaa.

PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un enfoque prctico. Editorial RAMA. Espaa.
RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa. SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com VEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53. Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa.
CPCC. GUILLERMO ARCAYA COYURI